| 当前位置:首页>>PKI与PMI>>数字证书>>正文 |
| 使用OpenSSL实现证书的管理 |
文章出处:中国信息安全组织 [整理]
Email:webm 发布时间:2004-07-17 |
| |
1 OpenSSL概述
目前比较流行的认证服务器之一是OpenSSL认证服务器。OpenSSL项目在Eric Young开发的SSLeay包的基础上,开发一个健壮的、商业等级的、开放源码的工具包用强大的加密算法来实现安全的socket层和传输层安全性,这个项目由全世界的志源者管理和开发OpenSSL工具包和相关的文档[6]。它提供了众多而且复杂的API函数,可惜的是,目前它的文档不全,只能够程序员自已多做工作。它的网址是:http://www.openssl.org。
2 为CA创建一个RSA私钥
#openssl genrsa –des3 –out –ca.key 1024
系统提示输入PEM pass pharse,也就是密码。生成ca.key文件,可以将文件的属性改为400,并放在安全的地方。
3利用CA的RSA私钥创建一个自签名的CA证书
创建一个自签名的证书(Selfsigned certificate)运行req命令,该命令生成一个ca.crt。
#openssl req –new –x509 –days 3650 –key ca.key –out ca.crt
然后系统提示输入国家代号、省份名称、城市名称、公司名称、部门名称、你的姓名及Email地址,这样一张自签名的CA证书就制作完成。
4为客户颁发证书
为客户创建证书,先用genrsa命令生成的私钥,用req命令生成证书签署请求CSR。
#openssl genrsa –des3 –out client.key 1024
#openssl req –new –key client.key –out client.csr这里也要输入个人的信息。
然后用sign.sh签署证书。
#./sigh.sh client.crt
这样由CA签发的证书就制作完成。
5撤消证书
要吊消证书可以使用openssl的ca命令,它可以对证书进行吊消、加进CRL及CRL有关的其它一些处理。
要吊消证书可以简单地使用以下命令:
#openssl ca –revoke 证书文件名
这时数据库被更新证书被标记上吊消的标志,需要生成新的证书吊消列表:
#openssl ca -gencrl -config /etc/openssl.cnf -out crl/sopac-ca.crl
证书吊消列表文件要在WEB站点上可以使用,必须将crldays或crlhours和crlexts加到证书中:
openssl ca -gencrl -config /etc/openssl.cnf -crldays 7 -crlexts crl_ext -out crl/sopac-ca.crl
6证书的更新
当用户发送他旧的证书证书或要在原有私钥的基础上建新的证书,所以必须吊消旧的证书然后再签发新的证书。要找到证书,可以用户的DN(区别名)在index.txt文件中查到序列号xx,用cert/.pem做为证书吊消的依据。你必须手动签发证书,因为开始时间和结束时间以便确定新证书的有效性。
#openssl ca -config /etc/openssl.cnf -policy policy_anything -out newcert.pem -infiles newreq.pem -startdate [now]
-enddate [previous enddate+365days]
用正确的时间替换 [now]和[previous enddate+365days]。
7查看证书
#openssl x509 -in cert.pem -noout –text
结束语
数字证书相当于电子身份证,X.509证书是由CCITT X.509国际标准所规定,目前在电子商务飞速发展的今天应用相当的广泛,交易支付过程中,参与各方必须利用认证中心签发的数码证书来证明各自的身份,数字证书可以进行数字签名,支持不可否认性。电子交易中,无论数字时间戳还是数字证书的发放,都不是靠交易的双方自己来完成,而需要设立一个可靠的第三方机构,进行有效、快速、规范化的认证服务。CA(Certfication Authofity)就是这样一个机构,用openssl论证服务器进行证书发放,证书更新,证书撤销,建立自己的CA论证中心,开发费用低,代码健壮,用强大的加密算法来保证信息传输的安全,它将有力地促进我国电子商务的发展。
|
| 作者: |
| 【返回顶部↑】 【推荐好友】 【查看评论】 |
|
|
|
|
|
|
|
